软件防火墙和硬件防火墙
1)软件防火墙
系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差
2)硬件防火墙
ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快

ASA5500系列的安全设备
ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用, ASA 5580用于大型企业,数据中心,运营商使用

防火墙功能分类
1)应用防火墙
代理使用
2)网络防火墙
识别网络传输的数据包
3)状态化防火墙
硬件防火墙都属于状态化防火墙,自动识别传输的数据包

状态化防火墙的原理

浅谈Cisco ASA的基础


浅谈Cisco ASA的基础


浅谈Cisco ASA的基础


浅谈Cisco ASA的基础


1)状态化防火墙的conn表包含的信息
源IP或者网络
目标IP或者网络
协议 端口号
2)icmp的特点
icmp协议不属于状态化防火墙
默认不能穿越防火墙通信
3)conn表的特点
conn表支持的协议可以转发
不支持不能被防火墙转发

ASA安全算法原理

浅谈Cisco ASA的基础


1)查询ACL
访问控制列表是否允许
2)查询conn表
检查conn表是否允许
3)操作引擎
引擎不需要管理员配置
引擎能够识别传输的数据包‘
不识别无法执行操作指令

简单配置ASA
1.配置主机名
ciscoasa#config t
ciscoasa#hostname ASA
ASA(config)#
2.配置密码
1)配置特权密码
ASA(config)#enable password pwd@123
2)配置远程登录密码
ASA(config)#password pwd@123

接口的概念与配置
1)物理接口
协商工作模式,协商通信速率
2)逻辑接口
配置命令
3)常见的逻辑接口
inside 内部接口,优先级默认100
outside 外部接口,优先级默认为0
dmz 非军事化区,保存对外提供服务的服务器,安全级别在inside和outside之间,优先级低于inside,高于outside
4)不同优先级遵循的规则
低不能访问高,低安全级别不能访问高安全级别
高可以访问低,高安全级别可以访问低
相同安全级别不能访问,端口优先级相同不能访问
低访问高,需要配置访问控制列表

简单配置接口
ASA(config)#int et 0/0, 进入物理接口
ASA(config-if)#nameif inside ,配置逻辑名称inside

ASA(config-if)#security-level 100 修改接口优先级100

ASA(config-if)#ip add 192.168.10.254 255.255.255.0 ASA(config-if)#no shut

ASA#show interface ip brief ,查看接口信息
ASA#show conn detail ,查看conn表

配置静态和默认
ASA(config)#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置静态
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默认,默认只能有一条
ASA#show route 查看路由表
ASA(config)#fixup protocol icmp 添加状态化连接

配置ACL(访问控制列表)
ASA(config)#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允许主机访问telnet
ASA(config)#int et 0/1 进入接口
ASA(config)#access-group out-to-in in interface outside ACL应用在outside接口为进方向

ASA远程管理的方式
1)telnet
内部管理使用,没有被加密,Cisco设备直接支持,安全性差
2)ssh
安全性强,适合广域网管理,传输数据加密,需要配置AAA认证
3)ASDM
Cisco提供的图形化配置设备使用,使用的是HTTPS协议加密

简单配置telnet远程管理
1)配置允许192.168.10.0网络通过inside远程管理设备
ASA(config)#telnet 192.168.10.0 255.255.255.0 inside
2)允许任意网络通过inside访问
ASA(config)#telnet 0 0 inside
3)telnet保持时间5分钟
ASA(config)#telnet timeout 5

简单配置SSH远程管理
1)创建域名
ASA(config)#domain-name benet.com
2)使用加密算法rsa长度为1024
ASA(config)#crypto key generate rsa modulus 1024
3)允许192.168.20.0通过outside接口ssh远程管理
ASA(config)#ssh 192.168.20.0 255.255.255.0 outside
4)修改版本
ASA(config)#ssh version 2
5)创建ssh账户和密码
ASA(config)#username cisco password pwd@123 privilege 15
6)开启AAA验证
ASA(config)#aaa authentication ssh console LOCAL
7)配置ssh保持时间
ASA(config)#ssh timeout 10

配置ASDM图形化工具管理
1)开启http功能
ASA(config)#http server enable
2)指定asdm客户端位置
ASA(config)#asdm image disk0:/asdm - 649.bin
3)允许外网使用asdm管理
ASA(config)#http 192.168.20.0 255.255.255.0 outside
4)创建asdm账户和密码
ASA(config)#username cisco password pwd@123 privilege 15